Νέα έρευνα της Sophos αποκαλύπτει ποια δεδομένα κρυπτογραφούν οι εταιρείες, ποια δεν κρυπτογραφούν, και γιατί
Στην Sophos πιστεύουν ότι η κρυπτογράφηση δεν είναι ποτέ αρκετή. Όσο περισσότερη τόσο το καλύτερο. Με απλά λόγια, η κρυπτογράφηση είναι ο καλύτερος τρόπος για την προστασία των πληροφοριών και των δεδομένων από απώλεια ή κλοπή, και είναι η τελευταία γραμμή άμυνας ενάντια σε κυβερνοεπιθέσεις και στην τυχαία έκθεση των δεδομένων σας σε τρίτους.
Και όμως, δεν είναι λίγες οι επιχειρήσεις που διαβάζουμε ή ακούμε να αποτυγχάνουν ακόμα και σε αυτό τον τομέα, συχνά μετά από παραβιάσεις, που τελικά αποδεικνύονται καταστροφικές, για τα οικονομικά, και για την φήμη τους. Δυστυχώς, η κατάσταση της ασφάλειας των δεδομένων στις μέρες μας είναι κακή – μόνο το 2014, εκτέθηκαν σε κίνδυνο τουλάχιστον 700 εκατομμύρια αρχεία, σύμφωνα με την έκθεση της Verizon, Data Breach Investigations Report.
Για να μάθει η Sophos για πιο λόγο υπάρχουν τόσες αποτυχίες στην προστασία δεδομένων, πραγματοποίησε μία έρευνα, στην οποία έλαβαν μέρος 1700 ιθύνοντες της πληροφορικής, από έξι διαφορετικές χώρες και από διαφορετικές βιομηχανίες. Η Sophos τους ρώτησε τι είδους κρυπτογράφηση χρησιμοποιείται στις εταιρείες που εργάζονται και γιατί δεν κρυπτογραφούν πάντα, και παντού.
Τα αποτελέσματα της έρευνας “Η Κατάσταση της Κρυπτογράφησης Σήμερα” ήταν ιδιαίτερα διδακτικά, και παρείχαν την δυνατότητα στην Sophos να κατανοήσει καλύτερα σε ποιους τομείς οι εταιρείες θα πρέπει να δώσουν μεγαλύτερη βάρος για να καλυτερέψουν.
Ένα από τα πιο ανησυχητικά ευρήματα της έκθεσης ήταν ότι ενώ πολλές εταιρείες λαμβάνουν πολύ σοβαρά υπόψη τους την ασφάλεια των δεδομένων των πελατών τους, δεν κάνουν το ίδιο και με τους εργαζομένους τους, με αποτέλεσμα να μην απολαμβάνουν όμοιου επιπέδου ασφάλεια.
Προσωπικά, εξαιρετικά ευαίσθητα προσωπικά δεδομένα των εργαζομένων, συμπεριλαμβανομένων λεπτομερειών που αφορούν τους τραπεζικούς λογαριασμούς τους, τα αρχεία ανθρωπίνων πόρων, τα αρχεία υγειονομικής περίθαλψης και άλλα δεν προστατεύονται με κρυπτογράφηση.
Για παράδειγμα, το 31% των εταιρειών που συμμετείχαν στην έρευνα και που αποθηκεύουν τέτοιου είδους δεδομένα, παραδέχτηκαν ότι πληροφορίες και δεδομένα που αφορούν στους τραπεζικούς λογαριασμούς τους δεν κρυπτογραφούνται πάντα. Επίσης το 43% των εταιρειών δεν κρυπτογραφεί πάντα τα αρχεία στο τμήμα ανθρώπινου δυναμικού ενώ σχεδόν οι μισές, περίπου το 47%, από εκείνες που αποθηκεύουν αρχεία υγειονομικής περίθαλψης των εργαζομένων τους δεν κρυπτογραφούν πάντα τα συγκεκριμένα αρχεία.
Αν και η παραβιάσεις των δεδομένων των πελατών, είναι και εκείνες που γίνονται… πρωτοσέλιδα και αποκτούν την μεγαλύτερη δημοσιότητα, οι εταιρείες έχουν μία υποχρέωση –και που ενδέχεται να απαιτείται νομικά- να προστατεύουν τα ευαίσθητα δεδομένα των εργαζομένων τους. Πρόκειται για έναν τομέα της ασφάλειας δεδομένων, που πολύ συχνά παραβλέπεται δυστυχώς.
Τα δεδομένα και τα περιουσιακά στοιχεία των εταιρειών επίσης διατρέχουν κίνδυνο, αφού σχεδόν το ένα τρίτο (30%) των εταιρειών που συμμετείχαν στην έρευνα, δεν κρυπτογραφούν πάντα τα οικονομικά στοιχεία τους ενώ το 41% κρυπτογραφεί σπάνια και κατά περίπτωση πολύτιμα περιουσιακά στοιχεία και δεδομένα πνευματικής ιδιοκτησίας, παρά τους αυξημένους κινδύνους οικονομικής και βιομηχανικής κατασκοπείας.
Ένας άλλος τομέας ανησυχίας, είναι ότι πολλοί οργανισμοί δεν αναγνωρίζουν ότι οι διαφορετικοί τύποι κρυπτογράφησης –full disk και file encryption- μπορούν, και πρέπει να εργάζονται συμπληρωματικά. Αν και η κρυπτογράφηση ολόκληρου του δίσκου, είναι κρίσιμης σημασίας σε περιπτώσεις κλοπής μίας συσκευής, δεν προστατεύει τα δεδομένα αν απομακρυνθεί από την συσκευή. Η κρυπτογράφηση σε επίπεδο αρχείου, είναι πολλές φορές απαραίτητη και συμπληρωματική, ώστε τα δεδομένα να είναι πάντα προστατευμένα, είτε βρίσκονται σε φάση ηρεμίας και αποθηκευμένα, κατά την μεταφορά τους ή ακόμα και όταν αποθηκεύονται εκτός της συσκευής.
Παρόλα αυτά, μόνο το 36% των εταιρειών είπαν ότι χρησιμοποιούν τόσο full-disk encryption όσο και file encryption. Εντωμεταξύ, η ασφάλεια των δεδομένων στο σύννεφο (cloud data security) είναι ένας τομέας που οδηγεί στην αύξηση της υϊοθέτησης της κρυπτογράφησης. Το 84% των εταιρειών εξέφρασαν ανησυχίες για την ασφάλεια των δεδομένων που είναι αποθηκευμένα στο σύννεφο. Πάντως, αν και το 80% από αυτές χρησιμοποιούν το σύννεφο για αποθήκευση δεδομένων, μόνο το 39% κρυπτογραφεί το σύνολο των αρχείων τους που είναι αποθηκευμένα στο σύννεφο.
Και αυτό, οδηγεί στην επόμενη κρίσιμη ερώτηση – γιατί τόσες πολλές εταιρείες αποτυγχάνουν να προστατεύσουν όλους τους τύπους δεδομένων, παντού και ανά πάσα στιγμή;
Οι εταιρείες αναφέρουν τον περιορισμένο προϋπολογισμό τους, εκφράζουν ανησυχίες για την απόδοση καθώς και έλλειψη γνώσεων στο deployment ως τα κορυφαία εμπόδια για να εφαρμόσουν μία λύση κρυπτογράφησης.
Δυστυχώς, τα παραπάνω ευρήματα δεν αποτελούν έκπληξη, αφού υπάρχουν πολλοί άνθρωποι που πιστεύουν λανθασμένα ότι η κρυπτογράφηση είναι πολύ πολύπλοκη ή και αρκετά δαπανηρή για να την εφαρμόσουν. Η πραγματικότητα ωστόσο σήμερα είναι ότι οι σύγχρονες λύσεις κρυπτογράφησης επόμενης γενιάς μπορεί να είναι πολύ απλές στην εγκατάσταση και στην εφαρμογή τους αλλά και αρκετά οικονομικές.
Πάντως, υπήρξαν και ορισμένα θετικά αποτελέσματα από την έρευνα της Sophos, που δίνουν την ελπίδα ότι οι εταιρείες αρχίζουν να μαθαίνουν την αξία της κρυπτογράφησης και έχουν αρχίσει να κινούνται προς την σωστή κατεύθυνση.
Η πλειοψηφία των επαγγελματιών που συμμετείχαν στην έρευνα αναγνώρισαν ότι οι εταιρείες τους θα πρέπει να κάνουν καλύτερη δουλειά στους τομείς της κρυπτογράφησης των δεδομένων των εργαζομένων τους, των πελατών τους αλλά και των πολύτιμων δεδομένων και των περιουσιακών τους στοιχείων. Τα καλά νέα είναι ότι το 69% από αυτές τις εταιρείες σχεδιάζουν να αυξήσουν την χρήση της κρυπτογράφησης μέσα στα επόμενα δύο χρόνια.
Η έρευνα “Η Κατάσταση της Κρυπτογράφησης Σήμερα” της Sophos, επιβεβαιώνει ότι την ώρα που η κρυπτογράφηση χρησιμοποιείται ευρέως και έχει γίνει αποδεκτή από τις εταιρείες, υπάρχουν κρίσιμης σημασίας κενά.
Οι υποσχέσεις του τύπου “θα το κάνουμε καλύτερη την επόμενη φορά” πάντα εκπληρώνονται όταν είναι αργά πια, και αφότου έχει γίνει η ζημιά. Για τις εταιρείες και τα άτομα που έχουν πέσει θύματα παραβιάσεων των δεδομένων τους, ακόμα και μία παραβίαση είναι αρκετή.
Για περισσότερες πληροφορίες σχετικά με τις προκλήσεις και τις ευκαιρίες που υπάρχουν στον τομέα της ασφάλειας δεδομένων στην εταιρεία σας, διαβάστε τα πλήρη αποτελέσματα και την ανάλυση της συγκεκριμένης έρευνας στην ιστοσελίδα sophos.com/encryptionsurvey. Επίσης υπάρχουν διάφορα videos και οδηγοί για να βρείτε από μόνοι σας τον δρόμο προς την καλύτερη ασφάλεια για όλα τα δεδομένα σας, στο sophos.com/encrypt.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.